在移除 root SSH 访问权限之前,必须创建本地管理帐户,这些帐户可以用作安全 Shell (Secure Shell, SSH),并且是辅助 wheel 组的成员。

在禁用直接 root 访问之前,请测试授权管理员可以使用 AllowGroups 来访问 SSH,并且他们可以使用 wheel 组和 su 命令以 root 身份登录。

过程

  1. 以 root 身份登录并运行以下命令。
    # useradd username -d /home/vropsuser -g users -G wheel -m 
    # passwd username

    其中 wheel 是 AllowGroups 中指定进行 SSH 访问的组。要添加多个辅助组,请使用 -G wheel,sshd

  2. 切换到该用户并提供新密码以确保密码复杂性检查。
    # su – username
    username@hostname:~>passwd
    
    如果满足密码复杂性要求,该密码会更新。如果不满足密码复杂性要求,该密码恢复为原始密码,必须重新运行密码命令。

    在您创建登录帐户以允许使用 wheel 访问权限进行 SSH 远程访问并使用 su 命令以 root 身份登录之后,您可以将 root 帐户从 SSH 直接登录中移除。

  3. 要移除 SSH 直接登录,请修改 /etc/ssh/sshd_config 文件,方法是将 (#)PermitRootLogin yes 替换为 PermitRootLogin no

下一步做什么

禁止以 root 身份直接登录。默认情况下,强化设备通过控制台直接登录到 root。在您创建管理帐户以获得不可否认性并测试它们能够进行 wheel 访问 (su - root) 之后,请禁用直接 root 登录,方法是以 root 身份编辑 /etc/securetty 文件,然后将 tty1 条目替换为 console